Tietoverkkoturvallisuutta koskeva tietoisuuskuukausi on Euroopassa ja Yhdysvalloissa osa laajaa pyrkimystä auttaa ihmisiä pysymään turvassa verkossa. Aloite käynnistettiin Yhdysvalloissa vuonna 2004 ja Euroopassa vuonna 2012. Tänä vuonna Yhdysvaltain tapahtumassa keskityttiin teemaan "See Yourself in Cyber". Euroopassa pyrittiin lisäämään tietoisuutta tietojenkalastelusta ja lunnasohjelmista.
Tuemme luonnollisesti kaikkia toimia, joilla tuetaan tietoverkkoturvallisuustietoisuutta. Ihmiset ovat organisaation turvallisuustoimien heikoin lenkki. On tärkeää opettaa heille yksinkertaisia toimia, joilla he voivat suojella itseään verkossa. Vastustajan on edelleen paljon helpompi huijata jotakuta paljastamaan salasana tai klikata sähköpostilinkkiä kuin tunkeutua hyvin suojattuun verkkoon. Hyvä tietoverkkoturvallisuustietoisuus voi suojella organisaatioita taloudellisilta tappioilta, sääntöjen noudattamisesta aiheutuvilta rangaistuksilta ja maineelle aiheutuvilta vahingoilta.
Vuosittain järjestettävän "tietoisuuskuukauden" ympärillä järjestettyjen tapahtumien jälkeen tietoturvatietoisuuden puutteen hyödyntäminen on kuitenkin edelleen tärkein hyökkäysmuoto tietomurroissa.
Verizonin vuoden 2022 tietomurtojen tutkimusraportissa todettiin, että 82 prosenttia edellisen vuoden tietomurroista liittyi sosiaaliseen manipulointiin, ja phishing-klikkausten määrä kasvaa edelleen. Kun hyökkääjät saavat jalansijaa, he voivat luoda komento- ja valvontakanavia, liikkua sivusuunnassa tunnistamaan kohdetietoja, salata tietoja lunnasohjelmavaatimuksia varten tai varastaa arkaluonteisia tietoja.
Kyberturvallisuustietoisuuden "kuukausi"?
Joten kyllä, tuemme kyberturvallisuuden tietoisuuskuukautta. Se tuo tarvittavaa huomiota ongelmaan, jonka ratkaisemiseksi olemme työskennelleet vuosia. Se saattaa saada jotkut organisaatiot ryhtymään ensimmäisiin toimiin henkilöstönsä tietoturvatietoisuuden parantamiseksi tai vahvistamaan nykyisiä ohjelmiaan. Vastustamme vain sitä, että tietoverkkoturvallisuustietoisuutta pidetään vuotuisena tapahtumana.
Oppiminen ei ole kertaluonteinen tapahtuma. Uutta kieltä ei opi puhumaan tai soittamaan soitinta keskittymällä tehtävään kerran vuodessa. Sama pätee myös kyberturvallisuusuhkien tunnistamiseen ja välttämiseen. Kaikkien näiden asioiden oppiminen vaatii aikaa ja toistoa.
Kun koulutustilaisuudet ovat kerran tai kahdesti vuodessa vaatimusten noudattamiseksi, opiskelijat eivät säilytä tietoja. Kuuluisa Ebbinghausin unohtamiskäyrä osoittaa, että opiskelijat unohtavat yli 75 prosenttia oppitunneista jo ensimmäisen viikon aikana. Kuukauden loppuun mennessä oppilaat muistavat vain 21 prosenttia oppitunnista.
Työntekijöiden tietoisuuden lisääminen
Opettaminen on prosessi, ei tapahtuma. Tähän kuuluu myös tietoverkkoturvallisuustietoisuuden opettaminen. Tutkimukset osoittavat, että unohduskäyrän alamäkeä voidaan pienentää säännöllisellä oppituntien vahvistamisella. Näiden vahvistusten ei tarvitse sisältää kaikkia oppitunnin tietoja. Tavoitteena on pitää oppija ajattelemassa materiaalia ja soveltamassa sitä käytäntöön.
Tietoverkkotietoisuuden kulttuurin rakentaminen
Tietoverkkoturvallisuustietoisuuden "kuukausi" voi tuntua kikkailulta. Tehokasta tietoverkkoturvallisuustietoisuusohjelmaa on harjoiteltava 12 kuukautta vuodessa käyttäen erilaisia välineitä ja tekniikoita.
Verkko-opetuksen oppitunnit ovat varmasti osa mitä tahansa onnistunutta ohjelmaa, mutta tiimien tulisi vahvistaa oppitunteja säännöllisesti muistutusten, phishing-simulaatioiden, mikrooppituntien, näytönsäästäjien ja julisteiden avulla. Oppitunnit olisi suunnattava organisaatiota uhkaaviin eri uhkiin.
Rahoitusryhmien koulutus olisi räätälöitävä osaston erityisten uhkien mukaan. IT-organisaatioiden on oltava varuillaan etuoikeutettujen valtuuksien varastamisen varalta. Kaikki tarvitsevat jatkuvaa koulutusta phishing- ja ransomware-hyökkäysten varalta.
Tietoturvatietoisuusohjelma on tärkeä osa yleistä riskinarviointia. Tietoisuusohjelmista vastaavien henkilöiden on pystyttävä seuraamaan edistymistä raportoinnin avulla ja käynnistämään korjaavia toimia, jos organisaatiossa on edelleen riskejä. Jos yksittäiset henkilöt tai tiimit saavat huonoja tuloksia koulutuksesta, korjaava koulutus olisi suunniteltava automaattisesti.
Tärkeintä on, että organisaatiot, jotka ovat sitoutuneet tietoverkkoturvatietoisuuteen ja verkkoturvallisuuteen, tunnustavat johdon tuen tarpeen. Ylimmän johdon säännölliset viestit suoraan kyberturvallisuushygienian tarpeesta - ja siitä, miksi se on yrityksen ensisijainen tavoite - auttavat rakentamaan pitkäkestoista turvallisuuskulttuuria.